边缘托管的用户授权包括基于身份的权限控制的IAM (Identity and Access Management)授权和基于角色的权限控制RBAC (Role-Based Access Control )授权。
IAM(Identity and Access Management)是一种基于身份的访问控制策略,使用火山引擎的访问控制权限管理系统,在多用户协同管理资源的场景中,控制不同身份用户对云资源的访问权限。
使用火山引擎云服务前,您需要先注册一个火山引擎账号(主账号)。主账号对其名下的所有资源拥有完全控制权限,并为名下的所有资源付费。
默认情况下,只有主账号能够访问云资源。其他IAM用户如果需要访问云资源,均需要获得主账号的授权。
IAM用户又称子账号,由火山引擎账号(主账号)创建。IAM用户必须在获取授权后,才能访问权限范围内的火山引擎账号(主账号)下的资源。
策略可以被看作是逻辑层面的权限集合。当IAM用户需要访问云资源时,您需要先为其关联策略来实现授权。
IAM用户可以关联以下两种权限策略:
边缘托管提供以下系统预设策略,可直接为 IAM 用户授权。详细的授权方法,请参见 配置IAM权限。
策略 | 策略描述 |
---|---|
VeECPFullAccess | 边缘托管(veECP)全部管理权限。 |
如果系统预设的边缘托管策略无法满足您的授权需求,您可以参考策略语法新建自定义策略。新建边缘托管的自定义策略时,您可以添加的授权项(Action)请参见 API概览。
RBAC(Role-Based Access Control)是一种基于角色的访问控制策略,通过将用户分配到特定的角色,来实现对系统资源的访问控制。边缘托管提供集群 RBAC 授权功能,为了满足企业用户细粒度的资源访问权限控制需求,您可以在完成IAM授权后,为 IAM 用户添加 RBAC 授权,使他能够访问指定的集群或命名空间资源,RBAC 权限的配置方法,请参见 配置RBAC权限。
边缘托管提供如下四种预置 RBAC 角色,可直接为 IAM 用户授权。
角色 | 角色描述 |
---|---|
集群管理员 | 允许对集群中以及所有命名空间中的全部资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 |
运维管理员 | 允许对所有命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的读写权限。 |
开发人员 | 允许对所有命名空间或指定命名空间中控制台可见 Kubernetes 资源进行读写,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |
只读用户 | 允许对所有命名空间或指定命名空间中控制台可见 Kubernetes 资源只读访问,拥有对集群节点、存储类、存储卷、命名空间、资源配额、资源限制的只读权限。 |